Po krótkiej przerwie powracamy do pisania postów i z tej okazji postanowiłem wypuścić kolejny – drugi – odcinek serii o zarządzaniu podatnościami. Dziś postaram się przekazać Wam jak poprawnie skonfigurować skaner podatności Nexpose.
Przedstawię dzisiaj instalację i konfigurację za pomocą pliku .ovf, czyli wirtualnej maszyny przygotowanej do instalacji na serwerze wirtualizacji, oraz manualnej instalacji Nexpose na wcześniej przygotowanym systemie operacyjnym. Artykuł zawiera dużą ilość screenów, które maja charakter poglądowy i w większości nie wymagają komentarza.
Instalacja z gotowego obrazu .ova.
Do wirtualizacji użyję serwera ESXi w wersji 5.5.
Pierwszym co musimy zrobić to wczytać obraz maszyny wirtualnej pobranej ze strony Rapid7.
Zapoznajemy się z EULA i akceptujemy postanowienia licencji.
Instalacja manualna z pliku binarnego.
Przygotowanie wirtualnej maszyny.
Alternatywą dla tego sposobu jest ręczna instalacja. Pierwszym co musimy zrobić to utworzenie nowej maszyny, lub wykorzystanie fizycznej maszyny i instalacja jednego z wspieranych systemów operacyjnych. Listę systemów wymieniliśmy tutaj. Wybraliśmy Ubuntu w wersji 14.04. Poniżej procedura przygotowania maszyny w VMware Workstation. Zalecamy przy tworzeniu maszyny wybranie opcji „Custom”.
Wybieramy wersje Workstation 8.0, tak by przygotowany przez nas obraz mógł być wczytany do serwera wirtualizacji ESXi.
Zalecanym przez Rapid7 jest ustawienie 16 GB ramu dla nexpose, minimalnie zaś 8 GB. Spokojnie można ustawić 4 GB, skany bedą się odbywać wolniej, ale do labu w zupełności wystarczy.
Jeżeli chodzi o przestrzeń dyskową, zalecanym jest 80+ GB, my polecamy trzymanie się zasady 100+ GB.
Instalacja systemu na wirtualnej maszynie.
Po przygotowaniu wirtualnej maszyny montujemy w naszym napędzie plik iso z systemem, który będziemy instalować i instalujemy.
Warto pobrać przy instalacji aktualizacje dla naszego systemu.
Zapisujemy zmiany na dyskach i przechodzimy dalej.
Rozpoczynamy instalację.
W trakcie informacji zostaniemy poproszeni o utworzenie użytkownika i określenie hostname naszej maszyny.
Po zakończeniu instalacji, restartujemy maszynę i zabieramy się za instalacje Nexpose oraz konfiguracje.
Instalacja Nexpose na wirtualnej maszynie.
Za pomocą protokołu SSH łączymy się z maszyną którą przed chwilą zainstalowaliśmy.
Wykonujemy update systemu, dla pewności, że posiadamy najnowsze pakiety.
Z strony Rapid7 pobieramy plik instalacyjny Nexpose. Na potrzeby artykułów, aby pokazać pełen zakres możliwości, pobieramy wersje „Enterprise”.
Wybieramy „Software Installation”, możemy również pobrać już gotowy obraz wirtualnej maszyny i wgrać go do naszego serwera wirtualizacji.
Następnym krokiem jaki musimy wykonać to wypełnienie krótkiego formularza rejestracyjnego, który zapewni nam darmową dwutygodniową licencje.
Wybieramy wersje pliku instalacyjnego względem systemu na maszynie na której będziemy instalować Nexpose.
Klikamy prawym na link do pliku instalacyjnego i kopiujemy jego wartość. Użyjemy tego do pobrania instalki na naszą maszynę.
Za pomocą narzędzia wget pobieramy, po czym nadajemy mu uprawnienia do wykonywania.
Uruchamiamy instalacje jako root i postępujemy zgodnie z dalszymi instrukcjami.
Konfiguracja z poziomu webpanelu.
Następnie przechodzimy do web-panelu. W naszym przypadku panel znajduje się pod adresem https://nexpose.s-m-s.pl:3780.
Jak widzimy nasz panel identyfikuje się certyfikatem SSL typu „self-signed”.
Sprawdzamy, czy przedstawiony certyfikat na pewno jest tym, który wygenerowaliśmy podczas instalacji i dodajemy wyjątek bezpieczeństwa.
Pierwsze uruchomienie może trwać od 10 do 30 minut, jest to zależne jakimi zasobami pamięci dysponuje maszyna na której zainstalowaliśmy Nexpose. Według vendora minimalna ilość pamięci RAM to 8 GB, my daliśmy 4 GB. Do działań laboratoryjnych owe 4 GB starczy bez problemu, natomiast, do seryjnej pracy zaleca się, aby maszyna na której będzie instalowany Nexpose miała 8 GB i więcej RAM-u.
Podczas instalacji podaliśmy login i hasło dla nowego użytkownika. Czas skorzystać z tych danych.
Możemy skorzystać z wbudowanego samouczka, który oprowadzi nas po panelu Nexpose i pokaże co i gdzie możemy znaleźć.
Po zalogowaniu również zostaniemy poproszeni o podanie klucza licencyjnego. Jeżeli podaliśmy prawidłowy email podczas rejestracji, powinniśmy mieć na nim maila od Rapid7 z licencją.
Przypominamy, że licencja, którą otrzymujemy na maila po rejestracji na stronie Rapid7 jest darmowa i ograniczona czasowo. Trwa ona 14 dni. Po zakończeniu licencji, możemy odnowić licencje, korzystając z tych samych danych co poprzednio.
Po zakończeniu aktywacji przed naszymi oczami ukazuje się gotowy panel. To wszystko jeżeli chodzi o konfiguracje samego oprogramowania w przypadku manualnej instalacji.
Poprawki bezpieczeństwa.
Jeżeli ktoś wybrał instalacje z gotowego obrazu maszyny wirtualnej, powinien pamiętać o kilku, istotnych rzeczach. Pierwszą z nich jest fakt, iż domyślnymi danymi dostępowymi są:
- dla OS: nexpose:nexpose
- dla samego web panelu: nxadmin:nxpassword
Dane te, należy niezwłocznie zmienić zaraz po zakończeniu powyższych czynności.
Aby zmienić dane dostępowe do panelu Nexpose, możemy zrobić to na dwa sposoby. Dodać nowego użytkownika i zablokować domyślnego, lub po prostu zmienić hasło dla domyślnego usera. Działania te wykonujemy w zakładce „Administracja”
By utworzyć użytkownika, wybieramy „Create” w zakładce „Users”.
Wybieramy rodzaj uprawnień nowego użytkownika. Możemy skorzystać z gotowych szablonów lub stworzyć własny zakres uprawnień. Zachęcamy do zapoznania się z listą uprawnień.
Wybieramy dostęp do działów „site” oraz „asset group” o których więcej napiszemy w następnym artykule z serii.
Aby edytować użytkowników przechodzimy do zakładki „manage” w dziale „Users”.
Aby wyłączyć użytkownika należy zaznaczyć go i kliknąć „Disable”.
I to na tyle ogólnej konfiguracji – na ciąg dalszy zapraszamy już niedługo!
Jak zwykle u Cb rzeczowy i rzeczowo wytlumaczony artykuł.
Pozdrawiam iktor